PRUEBAS DE PENETRACIÓN A LA INFRAESTRUCTURA TECNOLÓGICA DE

LA EMPRESA TALLER INDUSTRIAL ALKAN S.A DE LA CIUDAD

GUADALAJARA DE BUGA, VALLE

JAVIER MARMOLEJO SERRANO

ADRIAN PASTRANA FRANCO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

VICERRECTORÍA ACADÉMICA Y DE INVESTIGACIÓN - VIACI

Escuela: CIENCIAS BASICAS TECNOLOGIA E INGENIERIA

Programa: ESPECIALIZACION EN SEGURIDAD INFORMATICA

Curso: PROYECTO DE SEGURIDAD INFORMATICA II

Código: 233003

2018
PRUEBAS DE PENETRACIÓN A LA INFRAESTRUCTURA TECNOLÓGICA DE
LA EMPRESA TALLER INDUSTRIAL ALKAN S.A DE LA CIUDAD
GUADALAJARA DE BUGA, VALLE

JAVIER MARMOLEJO SERRANO

ADRIAN PASTRANA FRANCO

Anteproyecto para optar por el título de Especialista en Seguridad

Informática

Asesor Temático

Ing. Juan José Cruz

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

VICERRECTORÍA ACADÉMICA Y DE INVESTIGACIÓN - VIACI

Escuela: CIENCIAS BASICAS TECNOLOGIA E INGENIERIA

Programa: ESPECIALIZACION EN SEGURIDAD INFORMATICA

Curso: PROYECTO DE SEGURIDAD INFORMATICA II

Código: 233003

2018
 CONTENIDO

INTRODUCCIÓN ................................................................................................................. 4
1 TITULO DEL PROBLEMA .......................................................................................... 5
1.1 antecedentes del problema......................................................................... 5

1.2 planteamiento del problema........................................................................ 7

2 FORMULACIÓN DEL PROBLEMA ........................................................................... 7

3 JUSTIFICACIÓN .......................................................................................................... 8
4 OBJETIVOS ................................................................................................................ 14
4.1 OBJETIVO GENERAL .............................................................................. 14

4.2 OBJETIVOS ESPECíFICOS ..................................................................... 14

5 MARCO DE REFERENCIA ....................................................................................... 15

5.1 MARCO contextual Y TEORICO .............................................................. 15

5.2 Marco Contextual ...................................................................................... 18

5.3 Marco legal o jurídico ................................................................................ 19

6 DISEÑO METODOLÓGICO ...................................................................................... 20

6.1 método de investigación ........................................................................... 20

7 Recursos necesarios para el desarrollo ......................................................................... 21

7.1 recurso humano ........................................................................................ 21

7.2 recurso fÍsico y financiero ......................................................................... 21

7.3 recurso técnico ......................................................................................... 22

8 Cronograma de actividades .......................................................................................... 23

9 bibliografía ................................................................................................................... 24
 INTRODUCCIÓN

El presente trabajo presenta el anteproyecto desarrollado durante el curso de

Proyecto de Grado 1, el cual muestra el tema elegido para el trabajo de grado, el
problema a solucionar, los objetivos, la justificación, delimitación y metodología a
emplear para el desarrollo de la propuesta de grado; además de ello, se presenta
el producto que se espera obtener como resultado del proceso, junto con los
recursos necesarios para la realización del proyecto y el cronograma de
actividades. Lo anterior, permitirá dar inicio al desarrollo del trabajo de grado, en
base a lo descrito en el presente documento, y servirá de guía para llevar a buen
término el proyecto de grado para la especialización en seguridad informática

4
 1 TITULO DEL PROBLEMA

PRUEBAS DE PENETRACIÓN A LA INFRAESTRUCTURA TECNOLÓGICA DE

LA EMPRESA TALLER INDUSTRIAL ALKAN S.A DE LA CIUDAD
GUADALAJARA BUGA, VALLE

1.1 ANTECEDENTES DEL PROBLEMA

La empresa taller industrial Alkan nace en la ciudad Guadalajara de Buga hace 48

dedicado a la ejecucion de trabajos relacionados con el area metalmeanica,
ingenieria, tratamientos anticorrosivos, recubrimientos, aislamientos,
mantenimiento mecanico, electrico y afines orientado a satisfacer las necesidades
y espectativas de sus clientes, cumpliendo con las especificaciones y los acuerdos
contractuales establecidos.

En el mundo de hoy, la información es un recurso que como el resto de los

activos, que tiene valor para la empresa, este debe ser debidamente protegido,
asegurando la continuidad de los servicios que se prestan por el servidor de la
información, reduciendo los riesgos y ayudando a una mejor ejecución en sus
procesos que ayuden a mejorar la calidad del servicio en la atención a sus
clientes. En el servidor de gestión de la información de la empresa, se maneja
información, comercial, reportes, correo interno y externo, los cuales no pueden
ser arriesgados a un ataque informático, la seguridad de la información como la
confidencialidad, integridad y disponibilidad oportuna. El taller industrial Alkan no
ha implementado estrategias de reducción de riesgos en el sistema de la
seguridad de la Información, para realizar análisis, control y optimización
demandadas por la ISO/IEC 270011 en la cual se especifica “los requisitos para
establecer, implantar, documentar y evaluar un Sistema de Gestión de la
Seguridad de la Información (SGSI), definición del alcance del SGSI, definición de
una Política de Seguridad”, debido a que en sus inicios era una empresa muy

5
pequeña y no se pensó que esta crecería de una manera acelerada y llegar a
tener tantos clientes, para lo cual no puede mitigar los riesgos en la seguridad
informática. Hay muchos tipos de amenazas los cuales ponen en peligro los
servicios prestados por el sistema de información, generando daños en los
procesos administrativos y comerciales de la empresa, como ha sucedido en
varias empresas de servicio tal como lo especifica el ministro de Defensa, Luis
Carlos Villegas, quien dijo que las autoridades atendieron entre enero y agosto del
2.017, 5.500 ataques cibernéticos, que han afectado principalmente al sector
privado2, Actualmente la empresa presenta algunas dificultades en la seguridad de
la información a partir de su segundo año de funcionamiento, cuando se detectó la
desaparición de alguna información sobre datos de clientes, bloqueo de archivos,
perdidas de conectividad sin explicación alguna, duplicación de la información y
derivación de información comercial no propia de la empresa por parte externa.

_____________________
1Norma Iso 27001 (2017). - Sistema de Gestión de la Seguridad de la Información. Disponible en
http://www.gesconsultor.com/iso-27001.html
2El colombiano.com (2017). Hackers han realizado 5.500 ataques cibernéticos en 2017. Disponible

en http://www.elcolombiano.com/colombia/hackers-han-realizado-5-500-ataques-ciberneticos-en-
2017-YD7126742

6
1.2 PLANTEAMIENTO DEL PROBLEMA

Surge de la necesidad de mantener control frente los riesgos que puede correr los
sistemas operativos y la base de datos en la empresa taller Alkan S.A.

Luego de hallar esto se propone analizar por medio de herramientas de pentesting

con el objetivo de solucionar las vulnerabilidades o ataques de los hackers.

Al aplicar un reconocimiento de vulnerabilidades al sistema de gestión de

seguridad de la información con ayuda de herramientas como laboratorios de
pruebas de penetración con diversas herramientas según Franco, Tovar (2013) 3,
las cuales permitirán evaluar las condiciones de seguridad ayudando a plantear un
plan de reducción de vulnerabilidades que a futuro mantenga un sistema de
información confiable, íntegro y disponible que además evitara riesgos a los cuales
estaría comprometido.

2 FORMULACIÓN DEL PROBLEMA

¿Las pruebas de penetración a la red de la empresa solucionarían los problemas

de vulnerabilidad en la seguridad de la información de la empresa taller Alkan
S.A?

3Franco, Tovar (2017). Herramienta para la Detección de Vulnerabilidades basada en la

Identificación de Servicios. Disponible en
http://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-07642013000500003

7
 3 JUSTIFICACIÓN

La empresa talleres Alkan S.A es una empresa con buena trayectoria, con un
excelente crecimiento debido a factores de los excelentes servicios que ofrecen en
el área metalmecanica, así como las excelentes estrategias de servicio de alto
standing. Para su funcionamiento se hace uso de las redes sociales que han
gozado de excelente aceptación y por lo tanto se hace indispensable tener una
buena proteccion en la seguridad informática que permita salvaguardar la
comunicación e información. Hasta la fecha esta empresa no cuenta con la
seguridad informática adecuada y ha presentado problemas como la desaparición
de alguna información sobre datos de clientes, bloqueo de archivos, perdidas de
conectividad sin explicación alguna, duplicación de la información y derivación de
información comercial no propia de la empresa por parte externa.

El sistema de gestión de la seguridad en la información está orientado en proteger

el sistema de información utilizando protocolos, normas y herramientas para
disminuir daños en el software, bases de datos y toda la información empresarial.
En el caso de la empresa se beneficiarían de este proyecto en cuanto la
conservación de la integridad, disponibilidad, confidencialidad, autenticidad de la
información, en el desarrollo y crecimiento de sus metas, para asegurar los
sistemas informáticos y evitar pérdidas de información lo cual influye en el
cumplimiento de la misión empresarial, de igual manera este beneficio causara un
impacto positivo en el sector de servicios metalmecanicos que es uno de los
campos económicos a explotar en la región del Valle del Cauca.

8
La importancia de la seguridad informática

De acuerdo a la NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 270014, las

instituciones públicas y empresas privadas se ven obligadas a revisar el uso de los
datos personales contenidos en sus sistemas de información y replantear sus
políticas de manejo de información y fortalecimiento de sus herramientas. Debido
a esto es primordial que el sistema de la información de la empresa taller industrial
Alkan S.A que contiene información comercial, reportes, correspondencia interna y
externa, sea un sistema vital y seguro para la empresa la cual se obliga a estar
protegida.

Al efectuar un rastreo de vulnerabilidades al sistema de la información, permitirá

evaluar sus condiciones de seguridad lo cual facilitara el planteamiento de un plan
de reducción de vulnerabilidades que a futuro mantenga un sistema de
información confiable, íntegro y disponible que además evitará los riesgos a los
cuales estaría comprometido reduciendo el impacto negativo en el funcionamiento
de la empresa.

Recomendaciones de la OCDE5

Establecer nuevas políticas prácticas, medidas y procedimientos, o modificar los

existentes, para reflejar y tomar en consideración el contenido de las Directrices
para la Seguridad de Sistemas y Redes de la información, mediante la adopción y
promoción de una cultura de seguridad, tal y como se establece en dichas
Directrices; Desarrollar esfuerzos para consultar, coordinar y cooperar a nivel
nacional e internacional, a los efectos de poder implantar estas Directrices.

9
Recomendaciones ministerio de las tecnologías de la información y
telecomunicación (MINTIC)6

Las recomendaciones que hace el ministerio de las tecnologías de la información y

telecomunicación a las empresas se relacionan en el siguiente listado:

• Actualice y licencie sus cortafuegos y antivirus.

• Realice revisión periódica de su listado de contactos y practique la utilización de

firma digital o autenticación del mensaje a través de hash.

• No realice transacciones desde páginas web no confiables

• No instale herramientas de escritorio remoto, siempre y cuando no se almacene

un llavero de claves seguro y confiable.

• Evite conectarse desde redes inalámbricas abiertas que no tienen ninguna

seguridad.
• Cerciórese de la información de contacto con el fin de verificar el auténtico
originador del mensaje.
• No descomprima archivos de extensión desconocida sin antes verificar el
“vista previa” el contenido del mismo.
• Elimine correos electrónicos “Spam”, de esta forma evitará ir a sitios web no
seguros.
• Actualice los parches de seguridad del navegador web.
• Gestión adecuada de información confidencial y de terceros (títulos
financieros, chequeras, tarjetas, productos crediticios, etc.)

• Implemente servidor de correos electrónicos SPF (Sender Policy Framework).

10
ISO 27001 (2.006)7

La dirección debe revisar el SGSI de la organización a intervalos planificados (por

lo menos una vez al año), para asegurar su conveniencia, suficiencia y eficacia
continuas. Esta revisión debe incluir la evaluación de las oportunidades de mejora
y la necesidad de cambios del SGSI, incluidos la política de seguridad y los
objetivos de seguridad. Los resultados de las revisiones se deben documentar
claramente y se deben llevar registros

Las entradas para la revisión por la dirección deben incluir:

a) Resultados de las auditorías y revisiones del SGSI.

b) Retroalimentación de las partes interesadas.
c) Técnicas, productos o procedimientos que se pueden usar en la
organización
d) para mejorar el desempeño y eficacia del SGSI.
e) Estado de las acciones correctivas y preventivas.
f) Vulnerabilidades o amenazas no tratadas adecuadamente en la valoración
previa de los riesgos.
g) Resultados de las mediciones de eficacia.
h) Acciones de seguimiento resultantes de revisiones anteriores por la
dirección;
i) Cualquier cambio que pueda afectar el SGSI.
j) Recomendaciones para mejoras.

11
RESULTADOS DE LA REVISIÓN

Los resultados de la revisión por la dirección deben incluir cualquier decisión y

acción relacionada con:

a) La mejora de la eficacia del SGSI.

b) La actualización de la evaluación de riesgos y del plan de tratamiento de
riesgos.
c) La modificación de los procedimientos y controles que afectan la seguridad
de la información, según sea necesario, para responder a eventos internos
o externos que pueden tener impacto en el SGSI, incluidos cambios a:
1) los requisitos del negocio.
2) los requisitos de seguridad.
3) los procesos del negocio que afectan los requisitos del negocio existentes.
4) los requisitos reglamentarios o legales.
5) las obligaciones contractuales.
6) los niveles de riesgo y/o niveles de aceptación de riesgos.
7) los recursos necesarios.
8) la mejora a la manera en que se mide la eficacia de los controles. La
organización debe mejorar continuamente la eficacia del SGSI mediante el
uso de la política de seguridad de la información, los objetivos de seguridad
de la información, los resultados de la auditoría, el análisis de los eventos a
los que se les ha hecho seguimiento, las acciones correctivas y preventivas
y la revisión por la dirección.
_________________
4 ICONTEC. Instituto Colombiano de Normas Técnicas y Certificación. Disponible en
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-
ISO-IEC%2027001.pdf
5OCDE.Organización para la Cooperación y Desarrollo Económico. Disponible en

12
http://www.oecd.org/internet/ieconomy/34912912.pdf
6MINTIC. (06 de Noviembre de 2016). Guía para la Implementación de. Disponible en
https://www.mintic.gov.co/gestionti/615/articles-5482_Guia_Seguridad_informacion_Mypimes.pdf
7NTC-ISO/IEC-27001. (22 de Marzo de 2006). TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI). Obtenido de
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20

13
 4 OBJETIVOS

4.1 OBJETIVO GENERAL

Realizar pruebas de penetración a la infraestructura tecnológica de la empresa

taller Alkan de la ciudad Guadalajar de Buga, Valle.

4.2 OBJETIVOS ESPECÍFICOS

• Realizar el levantamiento de los activos de información de la empresa

talleres Alkan S.A de la ciudad Guadalajara de Buga, Valle mediante la
metodología Magerit.

• Aplicar pruebas de penetración a la red de datos empleando la metodología

del ethical hacking con la herramienta Kali Linux para diagnosticar las
vulnerabilidades de seguridad de la información de la empresa Talleres
Alkan de la ciudad Guadalajara de Buga, Valle.

• Valorar las vulnerabilidades encontradas según los riesgos detectados en

las pruebas de testeo de red y su efecto en el sistema de información.

• Plantear estrategias de reducción de los riesgos encontrados para evitar y

reforzar la seguridad de la información.

14
 5 MARCO DE REFERENCIA

5.1 MARCO CONTEXTUAL Y TEORICO

Metodologia ethical hacking

Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y

estudios de seguridad, la metodología contempla principalmente los métodos para
el desarrollo de estudios de seguridad enfocados en seguridad ofensiva y teniendo
como marco la posibilidad real de explotación independientemente de los
indicadores de riesgos y vulnerabilidades, haciendo uso de las herramientas que
ofrece el sistema operativo de pentesting Kali Linux como Nmap, Metasploit,
Wireshark, Oswap zap, Armitage, Suite aircrack-ng entre otras para que los
administradores de TI y personas en general tomen medidas preventivas contra
ataques informáticos. Linux Adictos, (2017)8.

Vulnerabilidad

Una vulnerabilidad es una debilidad en algún recurso informático que se

aprovecha para ser accedida de forma intencional o accidentalmente, estas
pueden provenir de muchas fuentes como el diseño, implementación de los
sistemas, los procedimientos de seguridad y controles internos, descuido de los
usuarios; protecciones inadecuadas o insuficientes de forma físicas y lógicas,
procedimentales o legales de alguno de los recursos informáticos. Estas al ser
accedidas resultan en fisuras en la seguridad con impactos perjudicial para la
organización. Voutssás Márquez, 20109.

15
También la vulnerabilidad (en términos de informática) es un fallo en un sistema
de información que coloca en riesgo la seguridad de la información permitiendo
que los atacantes puedan involucrar la integridad, disponibilidad o confidencialidad
del sistema de información, por lo que es necesario eliminarlas en corto tiempo.
Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar
contra la seguridad de un sistema de información. Las amenazas pueden proceder
de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o
negligencia y decisiones institucionales (mal manejo de contraseñas, no usar
cifrado). Desde el punto de vista de una organización pueden ser tanto internas
como externas. INCIBE, 201710

Control de acceso

El Control de Acceso a la red es aplicado para “controlar el acceso de los usuarios

a la red, verificar que todos los dispositivos que se conectan a las redes de una
organización cumplan las políticas de seguridad establecidas para prevenir
amenazas como la entrada de virus, salida de información, etc.” GUERRERO
ERAZO, LASSO GARCES, & LEGARDA MUÑOZ, 201511

Seguridad informática

La seguridad informática es la encargada de proyectar los modelos, los

procedimientos, métodos y técnicas para adquirir un sistema de información
genuino y seguro. Protege contra posibles riesgos, amenazas, vulnerabilidades
originados por la incorrecta utilización de tecnologías de información. Las

16
 entidades públicas y privadas deben establecer políticas de seguridad
implementando mecanismos de protección y evitar los medios de acceso que
generen vulnerabilidad al sistema de la información. Sus objetivos son:

• Conservar la integridad, disponibilidad, confidencialidad, autenticidad y no repudio

de la información.
• Preservar los activos informáticos de la empresa, como la infraestructura
tecnológica (hardware, software), mediante el uso de estrategias apropiadas, la
seguridad informática apoya a la empresa en el desarrollo de sus metas,
protegiendo los bienes materiales e inmateriales.
• Proteger los sistemas informáticos para impedir grandes pérdidas de información
lo cual influye en el cumplimiento la misión empresarial.
• Los directivos de las empresas deberían agregar a los objetivos empresariales la
seguridad informática como una herramienta para controlar y mitigar los riesgos.
• Se entiende por seguridad informática la característica de cualquier sistema
informático, que hace que esté libre de todo peligro, daño o riesgo. Como no hay
sistema infalible, se trata de que el sistema sea lo más fiable posible. Purificacion,
2.01012

Sistema de Gestión de información

Encargado de seleccionar, procesar y distribuir la información procedente de las

partes internas, externas y corporativas:

• Información interna. La producida en la actividad cotidiana de la institución

17
 • Información externa. La adquirida por la institución para disponer de
información sobre los temas de su interés
• Información corporativa o pública. La que la institución emite al exterior

Las funciones de la Gestión Información abarcarían:

1) Determinar las necesidades de información en correspondencia a sus

funciones y actividades
2) Mejora de los canales de comunicación y acceso a la información
3) Mejora de los procesos informativos
4) Empleo eficiente de los recursos Arévalo, 201213

Un sistema de información está integrado por un conjunto de componentes que

almacenan, procesan y distribuyen información. Cuando mencionamos la gestión
de información nos referimos a la gestión que se desarrolla en un sistema de
información (si se trata de que el sistema tenga como propósito obtener salidas
informacionales). Puede tratarse, en función de lo antes explicado, del subsistema
de información de una organización. PONJUÁN DANTE, 200714

5.2 MARCO CONTEXTUAL

El proyecto se realizara en la empresa taller industrial Alkan S.A de la ciudad

Guadalajara de Buga, Valle en la direccion Carrera 24 No. 13-04. Este proyecto se
realizará el primer semestre de 2.018 (4 Meses).

18
5.3 MARCO LEGAL O JURÍDICO

Legislación de Seguridad Informática en Colombia

NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 2700115

Según la Ley NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001, establece

normas que han sido elaboradas para brindar un modelo para el establecimiento,
implementación, operación, seguimiento, revisión, mantenimiento y mejora de un
sistema de gestión de la seguridad de la información (SGSI). La adopción de un
SGSI debería ser una decisión estratégica para una organización. El diseño e
implementación del SGSI de una organización están influenciados por las
necesidades y objetivos, los requisitos de seguridad, los procesos.

____________________
8Linux adictos (2017). Herramientas de Kali Linux. Disponible en https://www.linuxadictos.com/las-
5-mejores-herramientas-encontraremos-kali-linux.html
9Voutssás Márquez,J.Preservación documental digital y seguridad informática. Investigación

bibliotecológica, 127-155.
10NCIBE INSTITUTO NACIONAL DE CIBERSEGURIDAD. Disponible en
https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
11GUERRERO ERAZO, H. A., LASSO GARCES, L. A., & LEGARDA MUÑOZ, P. A. UNAD.

Disponible en
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3451/1/5203676.pdf
12AGUILERA, Purificación. Seguridad informática. Editex, 2010. p.9
13Arévalo, J. A. (2012). MediCiego. Disponible en
http://www.bvs.sld.cu/revistas/mciego/alfin_2012/alfin_folder/2012%20Unidad%206/Bibliograf%ED
a/Lect%20B%E1sicas/Lectura_basica_5.Gestion_de_la_informacion_gestion_de_contenidos_y_co
nocimiento.pdf
14PONJUÁN DANTE, G. (2007). Gestión de información. Dimensiones e implementación para el

éxito organizacional. La Habana - Cuba: TREA.

15 NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 27001 op, cit,

19
 6 DISEÑO METODOLÓGICO

6.1 MÉTODO DE INVESTIGACIÓN

El tipo de investigación empleado es exploratorio, al sistema de información, se

ejecutará un proceso de evaluación con el fin de encontrar vulnerabilidades en el
sistema de información, y aplicada debido a que con los hallazgos se propone una
solución según las normas y técnicas de la seguridad informática.

Para este proyecto aplicado se usará la norma ISO IEC 27001 (2006), la cual da
una variedad de controles para evaluar los riesgos asociados a la seguridad de la
información, donde se evalúa las vulnerabilidades en el Sistema de gestión de la
seguridad de la información de la empresa taller industrial Alkan S.A. Se aplicara
el modelo MAGERIT16 que nos permitirá analizar y gestionar los riesgos de sus
sistema, la evaluación de riesgos se establece al seleccionar los objetivos de
control y los controles a ser revisados, la medición realizada se fundamentara en
los porcentajes de cumplimiento: Menos del 50% del control se considera riesgo
de vulnerabilidad latente y mayor del 50% se considera de tratamiento adecuado y
no manifiesta existencia de vulnerabilidades relevantes para la seguridad de la
información. El proceso metodológico comprende los siguientes pasos:

1. Identificar y aceptar el riesgo. Admitir el riesgo latente y seguir trabajando, o

establecer controles para aminorar el riesgo a un estado admisible.

2. Prevenir el riesgo. Suprimir el origen y/o secuela del riesgo.

3. Disminuir el riesgo: Restringir el riesgo con el establecimiento de controles que

disminuyen el efecto perjudicial de una amenaza que aprovecha una debilidad.

Opciones de tratamiento del riesgo: mitigación

La mitigación del riesgo se refiere a una de dos opciones:

• Disminuir la desvalorización ocasionada por una amenaza.

• Aminorar la posibilidad de que una amenaza se realice.

20
En los casos anteriores se debe aumentar u optimizar el grupo de protecciones.

Proteger los recursos de los sistemas de información del taller industrial Alkan S.A
y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad, legalidad y confiabilidad de la información.

7 RECURSOS NECESARIOS PARA EL DESARROLLO

7.1 RECURSO HUMANO

El proyecto lo llevaran a cabo en su totalidad los estudiantes de la especialización

en seguridad informática Javier Marmolejo Serrano y Adrian Pastrana Franco, en
un lazo de 4 meses aproximadamente.

7.2 RECURSO FÍSICO Y FINANCIERO

En la siguiente tabla se describe el recurso físico y financiero que se requiere para

llevar a cabo el proyecto, igualmente se ilustra la fuente de financiación.

_____________________
16MOLINA MIRANDA, María Fernanda. PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS
DE TECNOLOGÍA APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL.
Madrid. 2015, 89. Trabajo fin de master. Universidad Politécnica de Madrid. Escuela Técnica
Superior de Ingenieros de Telecomunicación. Disponible en

http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

21
Tabla 1. Recurso físico y financiero

Cantidad Recurso Físico Valor

Recurso tecnológico

1 Equipo de cómputo, core i7-4790 3.60 $3.000.000

GHz, 8 Gb en RAM, 1 Tera en Disco
duro
1 Impresora HP Laserjet P1102w $550.000

1 Toner Impresora $350.000

1 Disco Duro externo de 500 GB $150.000

1 Internet $250.000

Subtotal $4.300.000

Recurso material

1 Papelería $100.000

Subtotal $100.000

Total Recurso Financiero $4.400.000

Fuente: El autor.

7.3 RECURSO TÉCNICO

Herramientas de Pentesting: Nmap, Metasploit, Kali Linux

22
 8 CRONOGRAMA DE ACTIVIDADES

Actividad Planteada Semana

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Inicio de Proyecto X
aplicado
Revisión x
observaciones
planteadas por tutor
Planeamiento trabajo x
en sitio
Recolección de x x
información
Aplicación Pentesting x x
a sistema operativo y
base de datos
Sistematización de x x
resultados
Análisis de resultados x x x
Redacción del x x x
Documento
Presentación x x
Documento al tutor
para revisión
Entrega del x x
documento en versión
digital e impresa para
evaluación del jurado
Corrección del x X
documento
Entrega del x
documento final al
tutor del curso

23
 9 BIBLIOGRAFÍA

NORMA ISO 27001. “Sistema de Gestión de la Seguridad de la Información”. {En

línea}. {05 Diciembre de 2017}.Disponible en http://www.gesconsultor.com/iso-
27001.html

AGENCIA EFE. Hackers han realizado 5.500 ataques cibernéticos en 2017. En: El
colombiano.com. Envigado: (2017), Disponible en
http://www.elcolombiano.com/colombia/hackers-han-realizado-5-500-ataques-
ciberneticos-en-2017-YD7126742

FRANCO, Tovar. Herramienta para la Detección de Vulnerabilidades basada en la

Identificación de Servicios. {En línea}. 2017. {5 Diciembre de 2017}. Disponible en
http://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-07642013000500003

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN.

TECNOLOGÍA DE LA INFORMACIÓN.TÉCNICAS DE SEGURIDAD. SISTEMAS
DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI). REQUISITOS.
Bogotá. Disponible en
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/No
rma.%20NTC-ISO-IEC%2027001.pdf

ORGANIZACIÓN PARA LA COOPERACIÓN Y DESARROLLO ECONÓMICO.

DIRECTRICES DE LA OCDE

PARA LA SEGURIDAD DE SISTEMAS Y REDES DE INFORMACIÓN: HACIA

UNA CULTURA DE SEGURIDAD. Paris. Disponible en

http://www.oecd.org/internet/ieconomy/34912912.pdf

MINISTERIO DE TECNOLOGIAS DE LA INFORMACION Y LAS

COMUNICACIONES. GUIA PARA LA IMPLEMENTACION DE LA SEGURIDAD

24
DE LA INFORMACION. Bogotá. (06 de Noviembre de 2016). Disponible en
https://www.mintic.gov.co/gestionti/615/articles-
5482_Guia_Seguridad_informacion_Mypimes.pdf

NTC-ISO/IEC-27001. TÉCNICAS DE SEGURIDAD. SISTEMAS DE GESTIÓN DE

LA SEGURIDAD DE LA INFORMACIÓN (SGSI). Bogotá. (22 de Marzo de 2006).
Obtenido de
http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/No
rma.%20

LINUX ADICTOS. “Herramientas de Kali Linux”. {En linea}. {5 de Diciembre de

2017}. Disponible en https://www.linuxadictos.com/las-5-mejores-herramientas-
encontraremos-kali-linux.html

VOUTSSÁS MÁRQUEZ,Juan.Preservación documental digital y seguridad

informática. En: Investigación bibliotecológica, Vol. 24. No. 50. (Ene/Abr, 2010). p.
127-155.

INSTITUTO NACIONAL DE CIBERSEGURIDAD. “Amenaza vs Vulnerabilidad,

¿sabes en qué se diferencian?”. {En linea}. {5 de Diciembre de 2017}. Disponible
en https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-
sabes-se-diferencian

GUERRERO ERAZO, Henry Aldemar. LASSO GARCES, Lorena Alexandra &

LEGARDA MUÑOZ, Paola Alexandra. IDENTIFICACIÓN DE
VULNERABILIDADES DE SEGURIDAD EN EL CONTROL DE ACCESO AL
SISTEMA DE GESTIÓN DOCUMENTAL, MEDIANTE PRUEBAS DE TESTEO DE
RED EN LA EMPRESA INGELEC S.A.S. Pasto. Disponible en
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3451/1/52036
76.pdf

25
AGUILERA, Purificación. Seguridad informática. 1ª Ed. Madrid: Editex, 2010. p.9

ARÉVALO, Julio Alonso. Gestión de la Información, gestión de contenidos y

conocimiento. En: MediCiego (2012). MediCiego. Vol.18. No. 1. (Nov, 2007);
Disponible en
http://www.bvs.sld.cu/revistas/mciego/alfin_2012/alfin_folder/2012%20Unidad%20
6/Bibliograf%EDa/Lect%20B%E1sicas/Lectura_basica_5.Gestion_de_la_informaci
on_gestion_de_contenidos_y_conocimiento.pdf

PONJUÁN DANTE, Gloria. Gestión de información. Dimensiones e

implementación para el éxito organizacional. 1ª Ed. La Habana - Cuba: TREA,
2007.

MOLINA MIRANDA, María Fernanda. PROPUESTA DE UN PLAN DE GESTIÓN

DE RIESGOS DE TECNOLOGÍA APLICADO EN LA ESCUELA SUPERIOR
POLITÉCNICA DEL LITORAL. Madrid. 2015, 89. Trabajo fin de master.
Universidad Politécnica de Madrid. Escuela Técnica Superior de Ingenieros de
Telecomunicación. Disponible en

http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf

26